LDAP¶
Glarus BI поддерживает аутентификацию с использованием Lightweight Directory Access Protocol (LDAP).
Вы можете найти параметры SSO в разделе Управление > Настройки > Аутентификация.
Необходимые атрибуты LDAP¶
Вам нужно настроить каталог LDAP со следующими атрибутами:
- электронная почта (по умолчанию атрибут
mail) - имя (по умолчанию атрибут
givenName) - фамилия (по умолчанию атрибут
sn).
Если в вашей настройке LDAP используются другие атрибуты для этих полей, вы можете отредактировать это в разделе "Атрибуты" формы.
В каталоге LDAP должно быть заполнено поле электронной почты для каждой записи, которая станет пользователем Glarus BI, иначе Glarus BI не сможет создать учётную запись, и этот человек не сможет войти в систему. Если какое-либо из полей имени отсутствует, Glarus BI будет использовать "Unknown" по умолчанию, и пользователь сможет изменить своё имя в настройках учётной записи.
Включение аутентификации LDAP¶
В разделе Управление > Настройки > Аутентификация, перейдите в раздел LDAP и нажмите Настроить. Заполните форму соответствующими данными, затем подтвердите ввод, нажав "Сохранить и включить".
Предоставление доступа пользователям¶
Когда пользователь входит через LDAP, Glarus BI может автоматически создать для него учётную запись Glarus BI (если такой учётной записи ещё нет).
Настройки сервера¶
Хост LDAP. Имя вашего сервера. Например, ldap.yourdomain.orgПорт LDAP. Порт сервера, обычно 389 или 636, если используется SSL.Безопасность LDAP. Варианты: Нет, SSL или StartTLS.Пользователь или DN. Отличительное имя для привязки (если есть). Этот пользователь будет использоваться для поиска информации о других пользователях.Парольадминистратора LDAP.
Сохраните изменения. Glarus BI автоматически извлечёт необходимые атрибуты из вашего каталога LDAP.
Пользовательская схема¶
Раздел Пользовательская схема на этой же странице предназначен для настройки параметров, связанных с тем, где и как Glarus BI подключается к вашему серверу LDAP для аутентификации пользователей.
База для поиска пользователей¶
Поле База для поиска пользователей должно быть заполнено отличительным именем (DN) записи на вашем сервере LDAP, которое является отправной точкой при поиске пользователей.
Например, предположим, вы настраиваете LDAP для своей компании, WidgetCo, где ваш базовый DN — dc=widgetco,dc=com. Если записи сотрудников хранятся в пределах организационной единицы на вашем сервере LDAP с именем People, вы захотите указать в поле базы поиска пользователей DN ou=People,dc=widgetco,dc=com. Это говорит Glarus BI начать поиск соответствующих записей в этом месте на сервере LDAP.
Пользовательский фильтр¶
Вы увидите следующее значение по умолчанию, выделенное серым цветом, в поле Пользовательский фильтр:
Когда человек входит в Glarus BI, эта команда подтверждает, что предоставленный логин соответствует полю UID или электронной почты на вашем сервере LDAP, и что соответствующая запись имеет objectClass inetOrgPerson.
Эта команда по умолчанию будет работать для большинства серверов LDAP, поскольку inetOrgPerson является широко принятым objectClass. Но если ваша компания, например, использует другой objectClass для категоризации сотрудников, в этом поле вы можете установить другую команду.
Сопоставление групп LDAP¶
Ручное добавление пользователей в группы в Glarus BI после того, как они вошли через SSO, избыточно и утомительно. Вместо этого вы можете воспользоваться группами, которые уже существуют в вашем каталоге LDAP, включив сопоставление групп (документация Metabase, англ.).
Прокрутите до Схема группы на той же странице настроек LDAP и нажмите тумблер "Синхронизировать состав групп", чтобы включить сопоставление групп. Кнопка "Новое сопоставление" или выбор "Редактировать сопоставление" вызовет модальное окно, где вы можете создавать и редактировать сопоставления, указывая, какая группа LDAP соответствует какой группе Glarus BI.
Как вы можете видеть ниже, если у вас есть группа Бухгалтерия как на вашем сервере LDAP, так и в экземпляре Glarus BI, вам просто нужно указать отличительное имя из вашего сервера LDAP (в примере это cn=Accounting,ou=Groups,dc=widgetco,dc=com) и выбрать соответствующую группу из выпадающего списка существующих групп Glarus BI.
Некоторые моменты, которые следует учитывать при сопоставлении групп:
- Группа администраторов работает как любая другая группа.
- Обновления членства пользователя в группе на основе сопоставлений LDAP не мгновенны; изменения вступят в силу только после повторного входа пользователей.
- Люди только добавляются в сопоставленные группы или удаляются из них; синхронизация не влияет на группы в Glarus BI, которые не имеют сопоставления LDAP.
Фильтр членства в группе LDAP¶
Фильтр поиска членства в группе. Заполнители {dn} и {uid} будут заменены на отличительное имя пользователя и UID соответственно.
Синхронизация атрибутов пользователя с LDAP¶
Вы можете управлять атрибутами пользователя, такими как имена, электронные письма и роли, из вашего каталога LDAP. Когда вы настраиваете разделение данных, ваш каталог LDAP сможет передавать эти атрибуты в Glarus BI.